ประกาศธนาคารแห่งประเทศไทย ที่ 4/2568 ณ วันที่ 31 มกราคม 2568

(1) ความปลอดภัยในการรับ-ส่งข้อมูล

การพิจารณาความปลอดภัยด้านการรับ-ส่งข้อมูลระหว่างโทรศัพท์มือถือของผู้ใช้บริการ และแอปพลิเคชันโมบายแบงก์กิ้งของธนาคารผู้ให้บริการ ซึ่งอาจมีความเสี่ยงที่ข้อมูลสำคัญจะถูกดักจับหรือถูกเปลี่ยนแปลงระหว่างการรับ-ส่งข้อมูลได้ ดังนั้น อุปกรณ์โทรศัพท์มือถือที่ใช้งานจะต้องรองรับโพรโทคอลที่มีมาตรฐานความปลอดภัยเพียงพอ ได้แก่:

• 1.1) รองรับการใช้งานโพรโทคอลที่มีมาตรฐานความปลอดภัย เช่น TLS 1.2 ขึ้นไป
• 1.2) ไม่สนับสนุนการใช้งานโพรโทคอลที่ไม่ปลอดภัย เช่น SSLv3
• 1.3) ไม่สนับสนุนการใช้งานอัลกอริธึมที่ไม่ปลอดภัย เช่น SHA-1, RC4

(2) ความปลอดภัยในการจัดเก็บข้อมูลบนเครื่องโทรศัพท์มือถือ

การพิจารณาความปลอดภัยด้านการจัดเก็บข้อมูลบนอุปกรณ์โทรศัพท์มือถือที่ประกอบด้วยข้อมูลสำคัญ ข้อมูลส่วนตัว และข้อมูลที่มีความละเอียดอ่อน ดังนั้น

ความปลอดภัยในการจัดเก็บข้อมูลและการบริหารจัดการข้อมูลบนโทรศัพท์มือถือจึงเป็นสิ่งสำคัญ การพิจารณาการใช้งานเทคโนโลยีการเข้ารหัสข้อมูลบนอุปกรณ์โทรศัพท์มือถือ ต้องมีความปลอดภัยที่เหมาะสมและสอดคล้องกับสถานการณ์ภัยคุกคามที่อาจเกิดขึ้นในปัจจุบัน ดังนั้น โทรศัพท์มือถือที่ใช้งานจะต้องรองรับเทคโนโลยีการรักษาความปลอดภัยของข้อมูล ได้แก่:

• 2.1) เทคโนโลยีที่เป็นมาตรฐานการเข้ารหัสข้อมูล รองรับการเข้ารหัสข้อมูลสำคัญในรูปแบบต่างๆ เช่น การเข้ารหัสแบบไฟล์ (File encryption) และการเข้ารหัสตามโครงสร้างไฟล์ (Metadata encryption) เพื่อป้องกันข้อมูลสำคัญจากการเข้าถึงโดยผู้ที่ไม่ได้รับอนุญาต และจากแอปพลิเคชันอื่นที่ไม่ได้รับอนุญาต
• 2.2) โมดูลที่ใช้ในการเข้ารหัสข้อมูล รองรับมาตรฐานความปลอดภัยสำคัญ เช่น FIPS 140-2 ขึ้นไป
• 2.3) เทคโนโลยีที่เป็นมาตรฐานการจัดเก็บข้อมูล ข้อมูลสำคัญควรต้องเก็บอยู่ในพื้นที่บันทึกข้อมูลที่ปลอดภัย (Secure storage device) รวมถึงการกำหนดพื้นที่พิเศษเพื่อสร้างความปลอดภัยของข้อมูลขณะประมวลผล ตัวอย่างเช่น Secure enclave, StrongBox keymaster และ Trusted Execution Environment (TEE) เพื่อจำกัดสิทธิ์การอ่านและการเข้าถึงข้อมูลจากแอปพลิเคชันที่ไม่ได้รับอนุญาต นอกจากนี้ยังช่วยป้องกันการเข้าถึงข้อมูลจากมัลแวร์ในกรณีที่เครื่องอาจถูก Compromised

(3) ความปลอดภัยของระบบปฏิบัติการ

การพิจารณาจากความรุนแรงของช่องโหว่ที่เกิดขึ้น และการดูแลแก้ไขช่องโหว่นั้นๆ หากระบบปฏิบัติการเวอร์ชันใดล้ำสมัยหรือไม่มีกำรสนับสนุนจากเจ้าของผลิตภัณฑ์ และมีช่องโหว่ระดับรุนแรง (Critical) ที่อาจส่งผลให้เกิดการทำงานข้ามสิทธิ์ (Bypass authorization) หรือทำให้แอปพลิเคชันโมบายอื่นสามารถประมวลผลข้าม Sandbox ได้

จึงไม่ควรอนุญาตให้ติดตั้งและใช้งานแอปพลิเคชันโมบายแบงก์กิ้งบนระบบปฏิบัติการเวอร์ชันดังกล่าว

(4) ความปลอดภัยของเทคโนโลยีที่ใช้ในการพัฒนาแอปพลิเคชัน

การพิจารณาจากเทคโนโลยี ไลบรารี หรือคอมโพเนนต์ที่ใช้ในการพัฒนาแอปพลิเคชันโมบายแบงก์กิ้ง ซึ่งอาจมีช่องโหว่ เช่น การใช้งานคอมโพเนนต์ที่มีช่องโหว่ในกระบวนการพัฒนาแอปพลิเคชัน หากเทคโนโลยี ไลบรารี หรือคอมโพเนนต์ที่นำมาใช้พัฒนาแอปพลิเคชันมีช่องโหว่ระดับรุนแรงที่ไม่สามารถแก้ไขได้ จะส่งผลให้ผู้ใช้งานแอปพลิเคชันดังกล่าวมีความเสี่ยงต่อภัยคุกคามทางไซเบอร์

จึงไม่ควรอนุญาตให้ติดตั้งและใช้งานแอปพลิเคชันโมบายแบงก์กิ้งบนระบบปฏิบัติการเวอร์ชันที่ใช้งานไลบรารีหรือคอมโพเนนต์ที่มีช่องโหว่ระดับรุนแรง

ข้อเสนอแนะของ TB-CERT จากการศึกษาปัจจัยทั้ง 4 ข้อข้างต้น TB-CERT จึงได้เสนอข้อแนะนำเวอร์ชันขั้นต่ำของระบบปฏิบัติการสำหรับโทรศัพท์มือถือที่สามารถติดตั้งและใช้งานแอปพลิเคชันโมบายแบงก์กิ้งได้ ดังนี้:

• สำหรับแพลตฟอร์ม iOS: iOS เวอร์ชัน 12
• สำหรับแพลตฟอร์ม Android: Android เวอร์ชัน 9

TB-CERT ได้ประกาศขอความสนับสนุนให้ธนาคารสมาชิกและภาคการธนาคารพิจารณาปรับเวอร์ชันขั้นต่ำของระบบปฏิบัติการสำหรับโทรศัพท์มือถือให้เป็นไปตามข้อเสนอแนะดังกล่าว

อ้างอิงจาก
https://www.tba.or.th/wp-content/uploads/2023/04/TB-CERT-Annual-Report-2022_V1.0_released.pdf